[HaBo]

fussel500 · 09.10.08, 17:58

Hey,

kennt jemand ein Programm, welches die Verbindung zum Clienten automatisch beendet, sobald er einen Portscan erkennt?
Danke!

MfG

**Elderan** · 09.10.08, 18:17

Hallo,
für diverse Firewalls und IDS gibt es Regeln, so dass diese Portscanns erkennen. Aber nur die primitiven (die mit roher Gewalt), denn einen Portscann kann man oft nur schlecht von normalen Anfragen unterscheiden.

Einfach mal Google verwenden, ob du was für z.B. IPTables verwendest, sofern das bei dir auf dem Server eingesetzt wird.

Anzeige

- Anzeige -

bikmaek · 09.10.08, 19:24

Zitat:

Original von Elderan
Hallo,
für diverse Firewalls und IDS gibt es Regeln, so dass diese Portscanns erkennen.

(...)

Ein IDS erkennt das höchstens, blocken bzw. den TCP-Stream killen kann man da nur mit einem IPS (IDS = Itrusion Detection System dagegen IPS = Intrusion Prevention System) bzw. einer FW die ein IPS integriert hat

Zitat:

Original von Elderan
(...)Aber nur die primitiven (die mit roher Gewalt), denn einen Portscann kann man oft nur schlecht von normalen Anfragen unterscheiden.

(...)

Das stimmt auch so nicht. Du kannst jeden Port-Scan identifizieren. Es liegt an der IPS / IDS und wie gut du die Filter einstellst bzw. wie gut der Hersteller den Portscan von seiner Hardware erkennen lässt.

*klugscheißmodus OFF*

Wenn du dazu Fragen hast - raus damit.

mfg bikky

fussel500 · 09.10.08, 19:42

Also ich hätte gerne Vorschläge für verschiedene Programme (Namen).
Mir ist klar, dass viele Zugriffe auf Port 80 nicht zu vermeiden sind aber z.b. auf Port 8029, 8030, 8031, 8032, 8033, 8034. Wenn auf diese 6 Ports hintereinander Zugriff erfolgt kann man das wohl als Portscaning bezeichnen (bzw. einstufen).

Sowas hätte ich gerne

**Elderan** · 09.10.08, 19:45

Hallo,

Zitat:

Original von bikmaek
Du kannst jeden Port-Scan identifizieren.

das ist eindeutig falsch.
Ein Port Scan unterscheidet sich (oft) nicht von einem normalen Verbingsaufaufbau, somit lässt sich dieser faktisch nicht identifizieren.

Es gibt aber Hinweise, die auf einen Port Scan schließen lassen. Der User versucht sich z.B. mit vielen Ports zu verbinden, die aber gar nicht offen sind oder er bricht die Verbindung mitten im Aufbau ab etc. um dann den nächsten Port anzusteuern. Daraus kann man schließen, dass es sich um einen Port Scan handelt und den User sperren.
Ein Flag o.ä. welches 'Port Scan Packeten' mitgegeben wird um Port Scans zu identifizieren existiert eben nicht.

Dies sind eben diese 'primitiven Portscanns', wo man einfach z.B. alle Port von 1 bis z.B. 1024 durch geht.

Einen User, der z.B. nur auf Port 80 und 443 'scannt', wird man nie mit einer Firewall, IDS, IPS identifizieren können ohne einen Großteil normaler User auszuschließen.
Wie gesagt, ein Portscan sieht oft genauso aus wie der normale Verbindungsaufbau, und wie du dort nun erkennst, dass das ein Portscan sein soll, erschließt sich mir nicht.

Ebenso scannen viele Würmer o.ä. nur einen Port, dafür aber entsprechend große IP Bereiche. Diese Würmer (oder Script Kiddies, Kriminelle etc.) suchen einen (oder evt. ein paar mehr) verwundbare Dienste um diese auszunutzen.
Beim einzelnen macht sich dies nur durch einen Verbindungsaufbau mit dem Port xxx bemerkbar.

Wenn man den Port offen hat: evt. schlecht, da evt. versucht wird diesen zu exploiten
Wenn der Port zu ist: Meistens alles in Ordnung. Ob man den User dann sperren will, ist ne andere Fragen. Damit schließt man oft viele normale User aus. Bsp. wenn der User https://www.meineURL.de eingegeben hat mein Webserver aber gar kein SSL anbietet => User wird gesperrt, da der Port 443 nicht offen ist.

bikmaek · 09.10.08, 19:55

@fussel500

Soll das für deine Workstation sein?

Dann z.B. http://www.infoprocess.com.au/download.php (ist ein HIP - Host Intrusion Prevention) Wie gut das ganze ist, weiß ich allerdings nicht. Ich darf bei mir halt mit enterprise Geräten Arbeiten

@Elderan

Ein Portscan auf 80 && 443 ist so sinfrei wie an eine Tanke zu fahren und zu gucken ob die Diesel haben. Auf Systemen wo ich aber kein webdienst laufen habe - z.B. auf meine FTP's - da wird eine Port 80 anfrage als Port-Scan identifiziert und geblockt. Da mein FTP aber über das Internet erreichbar sein soll und ist, können die mir den Port 21 so lange scannen wie die wollen. Nach der dritten Anfrage ohne SYNACK vom Server wird der TCP-Strom für 30 Sekunden gesperrt.

Es liegt immer am Admin bzw. an dem was du wie schützen willst.

Dazu kommt noch wann ich als Admin will, dass es als Port-Scan in die Logs geht bzw. geblockt wird. Nach zwei Ports die angefragt werden, nach 100 oder was auch immer.

Ein Port-Scan baut zudem keinen kompletten Drei-Wege-Handshake auf, das machst du bei meiner IPS auch nur auf einem Port und das ganze zwei Mal. Dann bist du für 30 Sekunden weg. Es sei denn ich nehme dich in die Ausnahmen

IPS rulez

bikky

**bitmuncher** · 09.10.08, 20:11

Verschoben: Webmaster-Security -> (In)security allgemein

**Elderan** · 09.10.08, 20:34

Hallo,

Zitat:

Original von bikmaek
Ein Portscan auf 80 && 443 ist so sinfrei wie an eine Tanke zu fahren und zu gucken ob die Diesel haben.

Natürlich kann ich einen Portscann auf 80 und 443 machen, möchte sehen wie du diese erkennst wenn der Server z.B. einen Webserver laufen hat. Gar nicht

Natürlich lässt sich dies ausdehnen, z.B. auf Port 3306, MySQL. Ich könnte IP Bereiche nach MySQL Server scannen, evt. weil ich eine Lücke in MySQL gefunden habe (oder jmd. anderes) oder einfach nur mal zu testen ob der root Zugang ein Passwort hat.
Wenn du selber einen MySQL Server betreibst und dieser von außen erreichbar sein soll, hast du defakto keine Möglichkeit zu erkennen, dass ich in wirklichkeit nur gescannt habe und kein legitimer User bin.

Auch wenn ich mal einen geschlossenen Port erwische, ist es nicht unbedingt klug, den User für einen längeren Zeitraum zu bannen. Es kommt häufiger vor, dass User ausversehen sich mit dem falschen Port verbinden, z.B. E-Mail Client falsch eingestellt (z.B. SSL für POP3 aktiviert, obwohl der Server es nicht anbietet). Gut, 30 Sekunden sollte zu verschmerzen sein.

Aber wie gesagt, unterscheiden ob ein Portscan vorliegt oder ob da nur ein dummer User ist, das geht nicht.

Zitat:

Ein Port-Scan baut zudem keinen kompletten Drei-Wege-Handshake auf

Da überlass doch bitte dem Autor des Port Scanners. Schreibt man mal als Übung seinen eigenen Port Scanner, so nutzt man oft die default Connect Methode der API um zu testen, ob ein Server auf einem bestimmten Port erreichbar ist.

Selbst bei guten Scanner wird der komplette 3-way handshake oft ausgeführt, z.B. bei nmap:

Zitat:

-sT (TCP connect scan)

TCP connect scan is the default TCP scan type when SYN scan is not an option. This is the case when a user does not have raw packet privileges or is scanning IPv6 networks. Instead of writing raw packets as most other scan types do, Nmap asks the underlying operating system to establish a connection with the target machine and port by issuing the connect system call. This is the same high-level system call that web browsers, P2P clients, and most other network-enabled applications use to establish a connection. It is part of a programming interface known as the Berkeley Sockets API. Rather than read raw packet responses off the wire, Nmap uses this API to obtain status information on each connection attempt.

When SYN scan is available, it is usually a better choice. Nmap has less control over the high level connect call than with raw packets, making it less efficient. The system call completes connections to open target ports rather than performing the half-open reset that SYN scan does. Not only does this take longer and require more packets to obtain the same information, but target machines are more likely to log the connection. A decent IDS will catch either, but most machines have no such alarm system. Many services on your average Unix system will add a note to syslog, and sometimes a cryptic error message, when Nmap connects and then closes the connection without sending data. Truly pathetic services crash when this happens, though that is uncommon. An administrator who sees a bunch of connection attempts in her logs from a single system should know that she has been connect scanned.

Und schreib den Portscanner nun bitte nicht vor, dass er nicht nur einen Port scannen darf und nicht im Modus -sT operieren darf.

Selbst wenn man den schnelleren SYN scan Mode nutzt, kann man als Server _nicht_ entscheiden, ob dort nun ein Portscan war oder nicht.
Packete gehen auch mal verloren, werden beschädigt oder ähnliches, da kann dann auch mal das Verhalten eines Syn Scan am Server auftreten, ohne dass dort jemand zweifelhafte absichten hat.

Wie gesagt, eindeutig identifizieren kann man Portscans nicht.

fussel500 · 09.10.08, 21:36

Puh - also eigentlich wollte ich nur ein auf Linux lauffähiges Programm, welches man beliebig konfigurieren kann, sodass es Portscan verhindert bzw. nach Portscan-Anfang diese Ip bannt^^

**bitmuncher** · 09.10.08, 21:56

Unter Linux gibt es zig solcher Tools. psad (Port Scan Attack Detector) und scanlogd dürften dabei die bekanntesten sein.

Anzeige

- Anzeige -

09.10.08, 17:58	#1 (permalink)
fussel500 Registriert seit: 05.10.08 Likes: 0	Portscan - Verbindung trennen Anzeige Hey, kennt jemand ein Programm, welches die Verbindung zum Clienten automatisch beendet, sobald er einen Portscan erkennt? Danke! MfG

09.10.08, 19:55	#6 (permalink)
bikmaek Registriert seit: 24.08.05 Likes: 0	@fussel500 Soll das für deine Workstation sein? Dann z.B. http://www.infoprocess.com.au/download.php (ist ein HIP - Host Intrusion Prevention) Wie gut das ganze ist, weiß ich allerdings nicht. Ich darf bei mir halt mit enterprise Geräten Arbeiten @Elderan Ein Portscan auf 80 && 443 ist so sinfrei wie an eine Tanke zu fahren und zu gucken ob die Diesel haben. Auf Systemen wo ich aber kein webdienst laufen habe - z.B. auf meine FTP's - da wird eine Port 80 anfrage als Port-Scan identifiziert und geblockt. Da mein FTP aber über das Internet erreichbar sein soll und ist, können die mir den Port 21 so lange scannen wie die wollen. Nach der dritten Anfrage ohne SYNACK vom Server wird der TCP-Strom für 30 Sekunden gesperrt. Es liegt immer am Admin bzw. an dem was du wie schützen willst. Dazu kommt noch wann ich als Admin will, dass es als Port-Scan in die Logs geht bzw. geblockt wird. Nach zwei Ports die angefragt werden, nach 100 oder was auch immer. Ein Port-Scan baut zudem keinen kompletten Drei-Wege-Handshake auf, das machst du bei meiner IPS auch nur auf einem Port und das ganze zwei Mal. Dann bist du für 30 Sekunden weg. Es sei denn ich nehme dich in die Ausnahmen IPS rulez bikky __________________ Xing Blog Webpage SysProfil

09.10.08, 20:11	#7 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	Verschoben: Webmaster-Security -> (In)security allgemein __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

09.10.08, 21:56	#10 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	Unter Linux gibt es zig solcher Tools. psad (Port Scan Attack Detector) und scanlogd dürften dabei die bekanntesten sein. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

09.10.08, 18:17	#2 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, für diverse Firewalls und IDS gibt es Regeln, so dass diese Portscanns erkennen. Aber nur die primitiven (die mit roher Gewalt), denn einen Portscann kann man oft nur schlecht von normalen Anfragen unterscheiden. Einfach mal Google verwenden, ob du was für z.B. IPTables verwendest, sofern das bei dir auf dem Server eingesetzt wird.

09.10.08, 19:42	#4 (permalink)
fussel500 Themenstarter Registriert seit: 05.10.08 Likes: 0	Also ich hätte gerne Vorschläge für verschiedene Programme (Namen). Mir ist klar, dass viele Zugriffe auf Port 80 nicht zu vermeiden sind aber z.b. auf Port 8029, 8030, 8031, 8032, 8033, 8034. Wenn auf diese 6 Ports hintereinander Zugriff erfolgt kann man das wohl als Portscaning bezeichnen (bzw. einstufen). Sowas hätte ich gerne

09.10.08, 21:36	#9 (permalink)
fussel500 Themenstarter Registriert seit: 05.10.08 Likes: 0	Puh - also eigentlich wollte ich nur ein auf Linux lauffähiges Programm, welches man beliebig konfigurieren kann, sodass es Portscan verhindert bzw. nach Portscan-Anfang diese Ip bannt^^

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
"Portscan" per udp	Haldir	Network · LAN, WAN, Firewalls	10	13.04.09 11:28
Inetanwendungen gehen nicht mehr nach trennen der DFÜ Verbindung	SpeedDemon	Internet Allgemein	4	27.09.05 12:36
portscan mit php	matrixII	(Web-) Design und webbasierte Sprachen	2	31.01.04 22:47
Portscan...	lutz280681	(In)security allgemein	9	22.10.03 14:31

[HaBo]

Portscan - Verbindung trennen